关于HTML中a标签的重大安全性漏洞!!!

2023-12-25 14:53:23 浏览数 (2)

前端开发过程中我们经常会用到<a target="_blank">标签来打开新的窗口 这是很常见的操作,大部分人也是这么做的 但是其中是有很大的安全漏洞的 举例说明 a.html

代码语言:javascript复制
<html>
	<body>
		<a href='b.html' target="blank">点击跳转b页面</a>
	</body>
</html>

b.html

代码语言:javascript复制
<html>
	<script type="text/javascript">
		window.opener.location = 'http://www.baidu.com'
	</script>
</html>

PS:window.opener 返回的是创建当前窗口的那个父窗口的引用

把这两个页面放在桌面上,先运行a页面,当打开b的时候,我们可以发现,此时a页面已经跳转到百度了 设想一下,假如我在b页面 js中写入的网站是和a页面一模一样的钓鱼网站呢,是不是有可能造成非常严重的后果!!!! 所以我们以后在使用a标签的时候 切记加上 rel="noopener"属性!!!!不使用 rel=noopener就是让用户暴露在钓鱼攻击上!!!!

0 人点赞